应急响应基础

# 应急响应基础

转载

原文：https://bypass007.github.io/Emergency-Response-Notes/Summary/

- name: 转载
  desc: 原文：https://bypass007.github.io/Emergency-Response-Notes/Summary/
  bgColor: '#F0DFB1'
  textColor: '#FF6000'

1
2
3
4

# 0x00 常见的事件分类

Web入侵：

网页挂马
主页篡改
WebShell

系统入侵：

病毒木马
勒索软件
WebShell

网络攻击：

DDoS
DNS劫持
ARP欺骗

# 0x01 Windows 入侵排查思路

# 1.1 系统账号安全

# （1）是否弱口令&公网开放

通过询问管理员进行了解。

# （2）是否存在可疑账号、新增账号

1、计算机管理 --> 本地用户和组。

2、Win + R 并输入 lusrmgr.msc。

# （3）是否存在隐藏账号、克隆账号

1、注册表 --> 管理员对应键值。

2、D盾 --> Web查杀工具 --> 克隆账号检测功能。

# （4）日志管理员登录时间、用户名是否异常

1、Win + R 并输入 eventvwr.msc。

2、导出 Windows 日志，使用工具Log Parser进行分析。

# 1.2 检查异常端口、进程

# （1）连接情况、是否有远程连接

1、命令netstat -ano并定位ESTABLISHED。

2、根据 netstat 定位到的 PID ，通过命令tasklist | findstr <PID>定位进程。

# （2）进程

1、命令msinfo32，然后选择 “软件环境 --> 正在运行任务”。

2、D盾 --> Web查杀工具 --> 进程查看。

3、微软官方工具Process Explorer。

4、查看可疑进程及其子进程

没有签名的进程；
没有描述的进程；
进程的属主、进程路径是否合法；
系统资源占用过高；
...等。

# （3）小技巧 - 查看端口对应的PID

命令netstat -ano | findstr <PORT>

# （4）小技巧 - 查看进程对应的PID

1、“任务管理器 --> 查看 --> 选择列 --> PID”。

2、命令tasklist | findstr <PID>。

# （5）小技巧 - 查看进程对应的程序位置

1、“任务管理器 --> 选择对应进程 --> 右键打开文件位置”。

2、Win + R 输入wmic打开命令行，然后输入process。

# （6）小技巧 - 查看所有的进程 & PID & 服务

命令tasklist /svc

# （7）小技巧 - 查看 Windows 服务所对应的端口

路径%system%/system32/drivers/etc/services（%system% 一般为 C:\Windows）。

检查启动项、计划任务、服务	检测方法
异常启动项	1、“开始 -> 所有程序 -> 启动”，该目录默认为空目录 2、命令`msconfig` 3、注册表 4、利用安全软件，查看启动项、开机时间管理 5、组策略，命令`gpedit.msc`
检查计划任务	1、“开始 -> 设置 -> 控制面板 -> 任务计划” 2、“cmd -> at”，检查网络之间的会话或计划任务（at命令已弃用，改为`schtasks.exe`）
服务自启动	命令`services.msc`，注意服务状态和启动类型，检查异常服务

检查系统相关信息	检测方法
系统版本以及补丁信息	命令`systeminfo`
可疑目录及文件	1、查看用户目录（`C:\Documents and Settings`或`C:\Users\`或其它） 2、命令`%UserProfile%\Recent` 3、服务器目录排查，文件夹、文件、时间，查找可疑文件 4、回收站、浏览器下载目录、浏览器历史记录 5、修改时间在创建时间之前的可疑文件
得到WebShell、远控木马的创建时间，找出同一时间范围内创建的文件	1、注册表编辑器`Registry Workshop`的搜索功能，找到最后写入时间区间的文件 2、计算机自带文件搜索功能，指定修改时间进行搜索

自动化查杀	检测方法
病毒查杀	安全软件，更新病毒库，全盘扫描
WebShell查杀	选择具体站点路径，安全软件进行查杀建议使用两款WebShell查杀工具，相互补充规则库的不足

日志分析	检测方法
系统日志	1、前提：开启审核策略，日后系统出现故障、安全事故则可以查看系统的日志文件，排查故障、追查入侵者信息等 2、事件查看器`eventvwr.msc` 3、导出应用程序日志、安全日志、系统日志，利用`Log Parser`进行分析
Web日志	1、找到中间件的Web日志，打包到本地方便进行分析 2、推荐工具：Windows下的`EmEditor`，Linux下的Shell命令组合查询

# 0x02 Linux 入侵排查思路

账号安全	说明
用户信息文件`/etc/passwd`	`root:x:0:0:root:/root:/bin/bash` `account:password:UID:GID:GECOS:directory:shell` `用户名:密码:用户ID:组ID:用户说明:家目录:登录之后shell`
影子文件`/etc/shadow`	`root:$x$xx/:16809:0:99999:7:::` `用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期的警告天数:密码过期之后的宽限天数:账号失效时间:保留`
命令`who`	查看当前登录用户（tty本地登录，pts远程登录）
命令`w`	查看系统信息，知道某一时刻用户的行为
命令`uptime`	查看登录多久、多少用户，负载
查询特权用户	命令`awk -F: '$3==0{print $1}' /etc/passwd`
查询可以远程登录的账号信息	命令`awk '/\$1\|\$6/{print $1}' /etc/shadow`
除root账号外，其他账号是否存在sudo权限	命令`more /etc/sudoers \| grep -v "^#\\|^$" \| grep "ALL=(ALL)"`
禁用或删除多余及可疑的账号	1、命令`usermod -L <USER>`，禁用账号，无法登录，/etc/shadow第二栏为感叹号 ! 开头 2、命令`userdel <USER>`，删除用户 3、命令`userdel -r <USER>`，删除用户，并删除家目录

历史命令	检测
通过`.bash_history`查看历史执行命令	1、命令`history` 2、家目录下的`.bash_history`文件
为历史的命令增加登录的IP地址、执行命令时间等信息	1、保存1万条命令`sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile` 2、在 /etc/profile 添加以下配置
清除历史命令	命令`history -c`，但不会清除文件中的记录，需要手动删除`.bash_history`以及`.bash_profile`中的记录
入侵排查	命令`cat ~/.bash_history >> history.txt`

# /etc/profile 添加配置
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"

# 重载配置
source /etc/profile

1
2
3
4
5
6
7
8
9
10
11
12

异常端口	检测
分析可疑端口、IP、PID	命令`netstat -atnlp \| more`
查看PID对应的进程文件路径	命令`ls -l /proc/$PID/exe`或`ls -l /proc/$PID/file`

异常进程	检测
分析进程	命令`ps aux \| grep pid`

开机启动项	检测
目录	1、`/etc/inittab` 2、`/etc/rc.d/rc[0-6].d`
排查	1、`more /etc/rc.local` 2、`ls -l /etc/rc.d/`

计划任务	检测
计划任务操作	1、默认存放路径`/var/spool/cron/<用户名>` 2、`crontab -l`列出某个用户的计划任务 3、`crontab -e`删除每个用户的计划任务（所有） 4、`crontab -e`编辑当前用户的计划任务
anacron 异步计划任务调度	每天运行 /home/backup.sh 脚本，命令`vi /etc/anacrontab @deily 10 example.deily /bin/bash /home/backup.sh` anacron 会在开机十分钟后运行它
关注以下目录	1、`/var/spool/cron/` 2、`/etc/crontab` 3、`/etc/cron.d/` 4、`/etc/cron.daily/` 5、`/etc/cron.hourly/` 6、`/etc/cron.monthly/` 7、`/etc/cron.weekly/` 8、`/etc/anacrontab` 9、`/var/spool/anacron/`
小技巧-查看目录下所有文件	`more /etc/cron.daily/*`

检查服务	检测
服务自启动-第一种修改方法	`chkconfig [--level 运行级别] [独立服务名] [on\\|off]` `chkconfig --level 2345 httpd on`开机自启动 `chkconfig httpd on`（默认level为2345）
服务自启动-第二种修改方法	在文件`/etc/re.d/rc.local`添加条目`/etc/init.d/httpd start`
服务自启动-第三种修改方法	使用`ntsysv`命令管理自启动，可以管理独立服务和xinetd服务
排查-查询RPM包安装的服务	`chkconfig --list` 或 `ps aux \\| grep crond`
排查-源码包安装的服务	`/usr/local/` 或 `/etc/rc.d/init.d/`

检查异常文件	检测
查看敏感目录	例如`/tmp`，及隐藏文件夹（以`..`为名的文件夹具有隐藏属性）
找出同一时间范围内创建的文件	命令`find /opt -iname "*" -atime 1 -type f`
修改文件创建时间	命令`stat`

检查系统日志

# 0x03 工具篇

# 2.1 病毒分析

PCHunter：http://www.xuetr.com
火绒剑：https://www.huorong.cn
Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker：https://processhacker.sourceforge.io/downloads.php
autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL：https://www.bleepingcomputer.com/download/otl/
SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

# 2.2 病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）
大蜘蛛：http://free.drweb.ru/download+cureit+free （推荐理由：扫描快、一次下载只能用1周，更新病毒库）
火绒安全软件：https://www.huorong.cn
360杀毒：http://sd.360.cn/download_center.html

# 2.3 病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn
微步在线威胁情报社区：https://x.threatbook.cn
火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区：http://bbs.duba.net
腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

# 2.4 在线病毒扫描网站

http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

# 2.5 webshell查杀

D盾_Web查杀：http://www.d99net.net/index.asp
河马webshell查杀：http://www.shellpub.com
深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html
Safe3：http://www.uusec.com/webshell.zip

编辑

← 使用Docker创建和连接数据库防火墙→